Il recente attacco informatico da 1,5 miliardi di dollari di Bybit ha trasformato il gruppo nordcoreano Lazarus in uno dei 15 principali detentori di Ethereum al mondo. La violazione ha mandato in shock lo spazio crittografico, allertando gli utenti che in precedenza pensavano che Ethereum fosse tra le reti più sicure e decentralizzate.
In una conversazione con BeInCrypto, rappresentanti di Holonym, Cartesi e Komodo Platform hanno discusso le implicazioni di questa violazione, le misure per frenare situazioni simili in futuro e come ripristinare la fiducia del pubblico in Ethereum.
Un diverso tipo di violazione
L’ hacking di Bybit ha scosso la comunità cripto non solo per la quantità di fondi rubati, ma anche per la natura della violazione.
Mentre altre violazioni di scambi di criptovalute, come l' episodio di Mt. Gox del 2014 o l'hacking di Coincheck del 2018 , hanno coinvolto chiavi private o compromissioni dirette dei portafogli di scambio, la situazione di Bybit era diversa.
Invece di rubare le chiavi private, gli hacker hanno manipolato il processo di firma delle transazioni, indicando che si trattava di un attacco a livello di infrastruttura. È stato preso di mira il processo di firma delle transazioni anziché l'archiviazione delle risorse stesse.
L'analisi forense dell'hacking di Bybit ha fatto risalire la violazione a Safe Wallet, un'infrastruttura di portafoglio multi-firma fornita da una terza parte. Safe Wallet utilizza contratti intelligenti e file JavaScript archiviati nel cloud su AWS S3 per elaborare e proteggere le transazioni.
Gli hacker potrebbero modificare segretamente le transazioni inserendo JavaScript dannoso nello storage AWS S3 di Safe Wallet. Pertanto, sebbene il sistema di Bybit non sia stato violato direttamente, gli hacker hanno alterato la destinazione dei trasferimenti approvata da Bybit.
Questo dettaglio ha messo in luce una grave falla di sicurezza. Le integrazioni di terze parti diventano punti deboli anche se un exchange blocca i propri sistemi.
Il gruppo Lazarus tra i principali possessori di Ethereum
A seguito del monumentale attacco hacker, la Corea del Nord è tra i primi 15 maggiori detentori di Ethereum.
Secondo i dati on-chain, Gemini, che in precedenza occupava la 15a posizione, detiene 369.498 ETH nel suo portafoglio Ethereum e da quando gli hacker Bybit hanno rubato oltre 401.000 ETH , ora hanno superato Gemini nella proprietà.
Il fatto che un gruppo famigerato come Lazarus, responsabile di diversi hack di alto profilo nel settore delle criptovalute, detenga ora una quantità così importante di Ether solleva diversi problemi di fiducia. Sebbene le speculazioni iniziali puntassero verso una debolezza nella natura decentralizzata di Ethereum, Nanak Nihal Khalsa, co-fondatore di Holonym, scarta questa affermazione.
Dato che la governance e i meccanismi di consenso di Ethereum si basano su validatori piuttosto che su possessori di token, il Gruppo Lazarus che detiene una quantità così sostanziale di ETH non compromette la decentralizzazione complessiva della rete.
"Lazarus possiede ancora meno dell'1% di ETH in circolazione, quindi non lo considero molto rilevante al di là della semplice ottica. Anche se si tratta di molti ETH, ne possiedono ancora meno dell'1%. Non sono affatto preoccupato", ha detto Khalsa a BeInCrypto.
Kadan Stadelmann, Chief Technology Officer di Komodo Platform, è d'accordo, sottolineando che la progettazione dell'infrastruttura di Ethereum è la fonte della sua debolezza.
"Ciò dimostra una vulnerabilità nell'architettura di Ethereum: gli attori illeciti potrebbero espandere ulteriormente le proprie partecipazioni prendendo di mira gli scambi o i protocolli DeFi, e quindi esercitare un'influenza sulle dinamiche di mercato e possibilmente cambiare le decisioni di governance nei processi off-chain di Ethereum votando su proposte di miglioramento. Sebbene la decentralizzazione tecnica di Ethereum non sia stata compromessa, Lazarus Group ha eroso la fiducia in Ethereum", ha detto Stadelmann a BeInCrypto.
Tuttavia, sebbene i possessori di token non possano influenzare i meccanismi di consenso di Ethereum, possono manipolare i mercati.
Impatti potenziali e manipolazioni del mercato
Sebbene gli hacker di Bybit abbiano già finito di riciclare l'ETH rubato , Stadelmann ha delineato una serie di possibili scenari che il Gruppo Lazarus avrebbe potuto realizzare con l'enorme ricchezza originariamente accumulata. Un'opzione è lo staking .
“La sicurezza Proof-of-Stake di Ethereum si basa su validatori onesti e sulla resilienza di portafogli, scambi e dApp. Sebbene il bottino del Lazarus Group non minacci il meccanismo di consenso della blockchain, dal momento che non è noto che le loro partecipazioni siano state messe in stake, certamente solleva lo spettro che ciò possa essere raggiunto, cosa che difficilmente riusciranno a fare, poiché i fondi che hanno rubato sono stati rintracciati," ha spiegato.
In modo altrettanto improbabile, gli hacker di Bybit potrebbero causare una significativa flessione del mercato vendendo del tutto le loro partecipazioni.
"Le loro partecipazioni danno loro l'opportunità di manipolare i mercati, ad esempio se vendessero le loro partecipazioni. Ciò sarebbe difficile da fare poiché i loro ETH sono contrassegnati. Se tentassero di scambiare ETH tramite la vendita, i loro beni potrebbero essere congelati", ha aggiunto Stadelmann.
Ciò che Stadelmann teme di più guardando al futuro è l'impatto che gli hack possono avere sui protocolli Layer 2 di Ethereum .
“Lazarus e i suoi partner potrebbero tentare di attaccare i protocolli Layer 2 come Arbitrum e Optimism. Un attacco di censura al livello 2 potrebbe minare le dApp e far sì che l’ecosistema si sposti verso sequenziatori di transazioni centralizzati. Ciò sottolineerebbe la debolezza di Ethereum", ha affermato.
Sebbene la rete di Ethereum non sia stata compromessa, gli attacchi di Safe Wallet hanno sottolineato le vulnerabilità nella sicurezza dell’ecosistema più ampio.
“La violazione ha sicuramente aumentato le tensioni nell’ecosistema e ha creato una distribuzione irregolare dei token. La domanda rimane: Lazarus o altri gruppi di hacker associati ad attori statali tenteranno di sfruttare l'ecosistema Ethereum, in particolare al livello 2?" ha concluso Stadelmann.
Ha inoltre sollevato interrogativi sulla necessità di migliori standard di sicurezza.
Verifica sulla fiducia
Khalsa ha sostenuto che l'hacking di Bybit, pur non essendo una minaccia per la sicurezza centrale di Ethereum, ha evidenziato la necessità di migliorare gli standard di sicurezza tra gli utenti.
“Dire che l'hacking è un problema di Ethereum è come dire che la morte per incidente stradale è un problema dell'auto quando il conducente non indossava la cintura di sicurezza. L’auto potrebbe avere più misure di sicurezza? Sì, e dovrebbe. Ma poiché la cintura di sicurezza ha poco a che fare con l’auto, l’hacking ha poco a che fare con Ethereum. È un protocollo e ha funzionato esattamente come previsto. Il problema è la mancanza di comodità e di know-how per custodire in modo sicuro le risorse digitali”, ha affermato.
Nello specifico, l’incidente ha messo in luce le vulnerabilità all’interno dei portafogli multi-firma , dimostrando che fare affidamento su integrazioni di terze parti può introdurre rischi significativi, anche con una solida sicurezza interna. Alla fine, anche le misure di sicurezza del portafoglio più sofisticate diventano inefficaci se il processo di firma può essere compromesso.
Khalsa ha sottolineato che esistono comprovate misure di sicurezza di autocustodia, mentre i portafogli multi-firma non sono tra queste. Ha aggiunto che le agenzie governative avrebbero dovuto sostenere da tempo standard e pratiche di sicurezza superiori.
"La ripercussione che tutti possiamo sperare è quella di impedire seriamente alla Corea del Nord di rubare più fondi. Sebbene non sia compito del governo cambiare il modo in cui viene effettuata l'autocustodia, è assolutamente compito del governo incoraggiare migliori pratiche industriali migliori". Questo attacco era dovuto al mito secondo cui i multisig dei portafogli hardware sono sicuri. Purtroppo è stato necessario che questo attacco venisse riconosciuto, ma standard migliori stabiliti dalle agenzie governative potrebbero incoraggiare pratiche più sicure senza la necessità di compromessi da 1,5 miliardi di dollari per risvegliare il settore”, ha affermato.
L'incidente ha anche messo in luce la necessità di verificare le transazioni piuttosto che fidarsi di applicazioni di terze parti .
Una soluzione alle vulnerabilità front-end
Inserendo JavaScript dannoso nei server cloud vulnerabili di Safe Wallet, il gruppo Lazarus ha lanciato un attacco sofisticato, consentendo loro di imitare l'interfaccia e ingannare gli utenti.
Secondo Erick de Moura, co-fondatore di Cartesi, questo exploit evidenzia una vulnerabilità critica. Il problema risiede nella dipendenza da pipeline di costruzione e distribuzione centralizzate all’interno di un sistema destinato alla decentralizzazione.
“L’incidente di SAFE serve a ricordare chiaramente che Web3 è sicuro tanto quanto il suo anello più debole. Se gli utenti non possono verificare che l’interfaccia con cui interagiscono sia autentica, la decentralizzazione diventa priva di significato”, ha affermato.
De Moura ha anche aggiunto che un malinteso comune nella sicurezza Web3 è che le violazioni dei contratti intelligenti siano tra le forme più efficaci di hacking degli scambi. Tuttavia, ritiene che la strategia del Gruppo Lazarus su Bybit dimostri il contrario. L'inserimento di codice dannoso nel front-end o in altri componenti off-chain è molto più semplice.
“Gli hacker non avevano bisogno di violare contratti intelligenti o manipolare direttamente i sistemi di ByBit. Invece, hanno inserito codice dannoso nell’interfaccia front-end, inducendo gli utenti a pensare di interagire con una piattaforma affidabile”, ha spiegato.
Nonostante queste vulnerabilità, è possibile una transizione dalla sicurezza basata sulla fiducia a quella verificabile.
Il caso delle build riproducibili
De Moura vede l'hacking di Bybit come un campanello d'allarme per la comunità Web3. Mentre gli scambi e gli sviluppatori rivalutano la loro sicurezza, sostiene che build verificabili e riproducibili sono essenziali per prevenire attacchi futuri.
“Fondamentalmente, una build riproducibile garantisce che, quando il codice sorgente viene compilato, produca sempre lo stesso output binario. Ciò garantisce che il software con cui interagiscono gli utenti non sia stato alterato da terzi in qualche punto del processo di distribuzione", ha affermato.
La tecnologia Blockchain è vitale per garantire che questo processo abbia luogo.
“Immagina un sistema in cui ogni build di software genera file binari e risorse in modo verificabile, con le relative impronte digitali (o checksum) archiviate sulla catena. Invece di eseguire tali build su server cloud o computer soggetti a violazioni della sicurezza, possono essere eseguiti su coprocessori blockchain dedicati o oracoli computazionali decentralizzati", ha detto De Moura a BeInCrypto.
Gli utenti possono confrontare il checksum delle risorse front-end che stanno caricando con i dati sulla catena tramite un plug-in o una funzionalità del browser. Una corrispondenza riuscita indica un'interfaccia di build autentica, mentre una discrepanza segnala un potenziale compromesso.
“Se a SAFE fosse stato applicato un approccio di build riproducibile e verificabile, l’exploit avrebbe potuto essere prevenuto. Il front-end dannoso avrebbe fallito la verifica rispetto al record on-chain, esponendo immediatamente l’attacco”, ha concluso De Moura.
Questo approccio rappresenta un'utile alternativa all'affidamento a utenti con diversi livelli di conoscenza dell'autocustodia .
Affrontare le lacune nella conoscenza degli utenti
Man mano che gli attacchi diventano sempre più sofisticati, la mancanza di conoscenza da parte degli utenti su come custodire in modo sicuro le risorse digitali rappresenta una vulnerabilità significativa.
L'hacking di Bybit ha frustrato gli utenti che inizialmente pensavano che fare affidamento su integrazioni di terze parti sarebbe stato sufficiente per salvaguardare le proprie risorse. Ha influenzato anche la percezione più ampia della sicurezza delle criptovalute.
“Ciò dimostra che le criptovalute sono ancora nel selvaggio West e nella loro fase di crescita in termini di sicurezza. Penso che tra un paio d’anni avremo una sicurezza superiore, ma allo stato attuale la paura del pubblico è ben giustificata”, ha detto Khalsa.
In definitiva, adottare approcci diversi sarà essenziale affinché la comunità Web3 possa costruire un ecosistema più sicuro e resiliente. Un buon punto di partenza è richiedere migliori pratiche di settore e valutare l’integrazione di build verificabili e riproducibili.
Il post Bybit Hack Fallout: gli esperti discutono su come la violazione da 1,5 miliardi di dollari influisca sulla reputazione di Ethereum è apparso per la prima volta su BeInCrypto .